从流量包到攻击链：一次APT攻击的深度取证WriteUp

1. 从告警到流量包：APT攻击的初始线索

那天下午3点27分，安全运营中心的告警大屏突然亮起红灯。SIEM系统弹出一条高危告警：内网FTP服务器检测到异常登录行为。作为值班分析师，我立即调取了相关流量包，一个名为capture.pcap的文件。

打开Wireshark，扑面而来的是3万多条数据记录。面对这种量级的数据，我通常会先做三件事：

• 统计协议分布：通过Statistics > Protocol Hierarchy查看各协议占比
• 筛选异常端口：用tcp.port not in {21,80,443,3389}过滤非常用端口
• 定位时间窗口：根据告警时间前后5分钟做初步时间筛选

# 快速统计HTTP请求方法分布 tshark -r capture.pcap -Y "http" -T fields -e http.request.method | sort | uniq -c

在FTP流量中，我发现攻击者使用USER admin和PASS Root123完成了认证。这个弱密码组合让我眉头一皱——这明显是暴力破解的结果。更可疑的是，成功登录后立即出现了STOR shell.php的上传操作。

2. 穿透Web防线：攻击者的横向移动

顺着FTP线索，我将注意力转向HTTP流量。使用过滤器http contains "POST"后，几个可疑请求浮出水面：

1. 对/file.php的POST请求携带了eval=参数
2. 请求头中的User-Agent显示为Rebeyond v1.0
3. 响应体中包含"status":"c3VjY2Vzcw=="（base64解码为"success"）

# 提取Web请求中的关键字段 from pyshark import FileCapture pcap = FileCapture('capture.pcap', display_filter='http') for pkt in pcap: if hasattr(pkt.http, 'request_method'): print(f"{pkt.http.request_method} {pkt.http.host}{pkt.http.request_uri}")

通过追踪TCP流，我复原了攻击者的操作链条：

1. 通过FTP上传WebShell
2. 访问/shell.php建立持久化后门
3. 使用cmd=whoami等参数执行系统命令
4. 最终通过certutil下载第二阶段载荷

3. 恶意程序拆解：隐藏在流量中的木马

在分析到第21号TCP流时，一段异常的Base64编码引起了我的注意。解码后出现如下PHP代码片段：

function encrypt($data,$key) { if(!extension_loaded('openssl')) { for($i=0;$i<strlen($data);$i++) { $data[$i] = $data[$i]^$key[$i+1&15]; } return $data; } else { return openssl_encrypt($data, "AES128", $key); } }

这段代码展示了攻击者使用的两种加密方式：

• 当OpenSSL不可用时采用逐字节异或加密
• 优先使用AES-128加密通信内容

通过动态调试，我提取出关键解密密钥e45e329feb5d925b。用这个密钥解密后续流量后，攻击者的C2（Command and Control）服务器地址终于浮出水面：185.xx.xx.xx:443。

4. 攻击链重建：从入侵到控制的完整路径

将各个阶段的发现串联起来，完整的攻击时间线逐渐清晰：

4.1 初始入侵阶段

• T+0:00暴力破解FTP服务（admin/Root123）
• T+2:17上传WebShell文件（shell.php）
• T+4:33通过HTTP POST执行探测命令

4.2 权限提升阶段

• T+6:45下载PowerShell脚本到内存执行
• T+9:12转储LSASS进程获取域凭证
• T+12:08创建计划任务实现持久化

4.3 横向移动阶段

• T+18:22通过SMB协议扫描内网
• T+25:41利用永恒之蓝漏洞攻击文件服务器
• T+31:56在DC上创建黄金票据

通过分析注册表修改记录和WMI事件日志，我发现攻击者还做了以下操作：

1. 禁用Windows Defender实时监控
2. 修改防火墙规则放行445端口
3. 清除系统日志和Web访问日志

5. 防御建议：基于攻击手法的防护策略

针对此次攻击中暴露的薄弱环节，我总结了几个关键改进点：

网络层防护

• 部署FTP流量解密设备，实时检测暴力破解行为
• 对出向443端口流量实施SSL拦截检测
• 在内网核心交换机启用NetFlow/sFlow监控

# Suricata规则示例检测WebShell活动 alert http any any -> any any (msg:"疑似WebShell活动"; content:"eval="; nocase; content:"base64_decode"; distance:0; classtype:web-application-attack; sid:1000001; rev:1;)

主机层加固

• 对关键服务器实施应用白名单策略
• 定期轮换服务账户密码
• 启用LSASS保护（EnableLSAProtection）

日志增强

• 将Windows事件日志提高到Verbose级别
• 收集PowerShell脚本块日志（Script Block Logging）
• 部署ELK Stack集中分析日志

在复盘过程中，最让我后怕的是攻击者从初始入侵到获取域管理员权限，全程只用了不到36分钟。这提醒我们：现代APT攻击已经进入"分钟级突破"的时代，传统的日级响应机制必须升级为实时对抗体系。